“弱口令”又闯祸,这次是家用安防
6月18日,央视曝光,大量家庭摄像头遭入侵,有人借此非法牟利。央视引用国家质检部门的抽检报告称,已检测的40批次中家庭智能安防摄像头中,32批次样品存在质量安全隐患,可能导致用户监控视频被泄露,或智能摄像头被恶意控制等危害。即80%的“家庭安防摄像头”,其实正在成为家庭最大的“安全黑天鹅”。
但是,大屏君为什么要在标题上说“又”呢?因为,同样的问题2015年已经出过,而且是大名鼎鼎的全球第一安防品牌“海康威视”。
2015年2月27日,江苏省公安厅科技信息化处发出《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》称,“海康威视监控设备存在严重安全隐患,部分设备已经被境外IP地址控制。”该事件引发业内广泛关注。
但是, 这个锅真的不应该由“任何安防企业”,包括海康威视来背:因为,2015年海康威视事件的元凶是“初始密码未改所致”。这次央视曝光的家庭智能涉嫌头的问题也很类似——国家互联网应急中心高级工程师高胜指出,“隐私窃取主要是依靠扫描器,用一些弱口令密码,做大范围的扫描。弱口令就是一些user或者admin。”即,关键问题还是出在原始用户名、原始密码、简单用户名、简单密码上。
所以,大屏君觉得这个“安全黑锅”的主要责任在于“用户习惯”,次要责任在于“别有用心”者。
对于前者,很多用户有懒惰的毛病,也有技术依赖症。无论是企业安防、社会安防还是家庭安防,大部分系统应用并非“全天时”要害领域。或者说,这些安防设备更多是以防万一。所以,用户很多时候不愿意用很大精力来管理这些产品——如果换做是银行卡,有着千八百万现金在账上,恐怕无法想象会出现“初始密码”不更换、银行卡随手放的情形。
同时,大屏君也意识到一个更重要的问题:即很多消费者和安防用户,并不了解安防系统联网工作的基本常识。即他们天然认为,安防产品自身是没有破绽的,很安全的。但是,很多时候,视频摄像头就是一个传感器,任何物理或者信息化的入侵,都可能绑架这个产品。且越是高度智能和功能复杂化的产品,越容易遭受信息手段的入侵——这方面,安防产品本身不应该被视作比一般的“手机”、“电脑”更安全。
即,我们常说的安防安全和技防措施,本质是“交叉安全”:通过在整个环境中,增加一套系统,增加安全冗余。而不是给这个环境加上一层金钟罩铁布衫。这个增加的安防系统,除了有订制化的功能外,在信息安全上她没有“原则性”的特殊性。
如果能理解这一点,任何消费者和客户都能做到,向对待普通电脑、个人手机那样,“小心翼翼”的管理自己的安防产品。那么央视曝光的智能摄像头问题。海康威视2015年黑天鹅事件就都不会发生——至少是变得很难发生。
在此基础上,大屏君还想强调“安防产品”的部署,的确增加了一个环境中“交叉安全”的强度;但是,这个系统自身也在另一个层面增加了原有环境可能的“暗门”。
例如,在央视曝光的家庭智能摄像头案例中,对于一个家庭,即便是经常出入的最友好的客人,也不可能任何时刻都说清楚“家庭陈设”的细节。但是,一旦家庭智能摄像头被挟持,那么黑客通过“眼见即所得”,随时能把消费者家庭的一举一动掌握清楚。这种情形即是说,作为安全系统的“安防摄像头”,也充当了一个可能的高危险“暗门”的角色。
对于任何安防用户,都应该理解这个常识:即安防系统,尤其是视频安防系统,本身就是一个“比任何其他的门”都要危险,都需要小心“管理”的“门”。而用户名和密码就是唯一的“锁”。
当然,很多消费者可能说,我的小店、我的小场所、我的学校、我的办公地点、我的家庭,即不会存放大量现金、也没有容易偷盗的值钱产品,我安装这个系统,只是为了管理(如监视老人、小孩、工作人员、生产状况等)的方便。——大屏君不认为这种思维没道理。但是,安全问题一定要用“坏人”的角度来想,要警钟长鸣。
首先,大屏君知道,一些人只是想“偷窥一下”,包括隐私、也包括最日常的生活、生产状态。他们除了好奇心没有别的恶意,最多就是把看到的信息再搬到网上。如果不涉及私密信息,这些行为的确不构成任何直接损失。
但是,大屏君亦知道,14亿中华同胞难免有一些败类。如电信诈骗分子。而诈骗分子获得被骗对象信任的方式,就是大量搜集其个人的公开乃至隐私信息。一个被侵入的摄像头落入诈骗分子之手,无论是家庭的还是工作场所的,无疑都是“最好的工具”。
除了那些“高级罪犯”外,社会上的小偷小摸的数量更是众多。甚至曾经有过小偷把防盗门、防盗窗都拆掉卖废铁的案例。对于这些罪犯,且不要说“我家、或者我的办公场所,无值钱的东西”,没准这些人连废纸都偷:谁叫废纸也能卖钱呢?
然后,大屏君还有一个更高级的“安全问题”:即弱口令安防系统被境外势力大范围挟持,在海量数据下,那些日常生活中、工作中“自觉”没有意义的细节,是不是能被“敌方专家学者”识别出“高价值”的情报呢?切不要忘记那个梗:日本情报部门仅仅通过一张铁人王进喜的新闻照片,就知道了大庆油田的确切位置。(当然,这也与日本侵华时期在此地十几年调查,掌握了大量地质情报有关。)
从最后一点看,大屏君尤其要说:安装家庭智能摄像头的都是哪些人?无外乎是三高份子:高学历、高收入、高社会地位。安装众多复杂安防系统的政府和企事业单位都是哪些:也无外乎三高——高业务量、高级别、高地位。对于这样的家庭、单位,一旦掌握其海量的活动信息,一定能从中分析出很多有价值的情报。2016年, 360威胁情报中心数据显示,针对中国境内目标发动攻击的境内外APT(Advanced Persistent Threat,即“高级持续性威胁”)组织达36个,中国已经成为全球APT攻击的第一目标国。
总之,在大屏君看来,安防系统不是一步到位的“安全保障“。他的本质是通过多系统交叉,增强总体安全的冗余性。安防系统在体现安全保障作用的时候,其本身也成为一个易被攻击、且一旦被侵入就会变成一个”大开之门户“的”安全问题“。
在这样的认知下,如何做到安防更安全的?答案在于,安防系统降低了简单安保体力劳动的量,却增加了复杂安保的科技水平和劳动难度。对于后者,要求我们的安防人和安防消费者,要做到时刻警惕,树立防范高科技安全犯罪的意识,加强高级安防技能的学习与应用。最后,大屏君还是那句话,设备是中性的,人才是决定用好用坏的因素。所以说“生于忧患,死于安乐“。
金莎js9999777的网址提示:本文来源:福说扒道;自发布之日起,凡有转载、摘录、抄录者请注明转载地址及连接,未按要求的,我公司有权依法追究其相关责任.